Nguồn: Kloak
Tóm tắt
Kloak là một công cụ quản lý secret cho Kubernetes sử dụng eBPF để intercept traffic HTTPS ở tầng kernel, thay thế secret thật bằng hash placeholder trước khi dữ liệu đến ứng dụng. Điều này đảm bảo application code không bao giờ nhìn thấy credential thực tế, loại trừ nguy cơ lộ secret qua log, error message hay biến môi trường.
Cách hoạt động: sau khi đăng ký một Kubernetes Secret với label getkloak.io/enabled=true, Kloak tạo một ULID placeholder duy nhất cho mỗi giá trị secret. Ứng dụng sử dụng hash này trong config; khi request HTTP ra ngoài được gửi, Kloak intercept ở kernel space và thay thế hash bằng secret thật trước khi gói tin rời khỏi máy chủ.
Kiến trúc eBPF-only (không có sidecar, không cần CNI plugin thay thế) mang lại overhead gần như bằng không. Kloak hoạt động với mọi ngôn ngữ và framework mà không cần thay đổi code. Dự án hiện là open source theo giấy phép AGPL-3.0 và hỗ trợ thêm tính năng host restrictions — giới hạn secret chỉ được dùng với host cụ thể.